Hallo!
Hab auf einem meiner Rechner (gewollterweise) einen User ohne Passwort. Man gibt den Usernamen ein und ist sofort drin. Soweit so gut, will ich mich aber nun per ssh auf diesem Rechner einloggen, so fragt er immer nach einem Passwort. Drücke ich einfach nur enter bringt er mir ein "Permission denied"...
Hat jemand ne Idee?
Gruß,
Vinc
SSH User Problem
Schau dir doch mal die /etc/ssh/sshd_config an da gibt es folgenden Eintrag:
eagle
Code: Alles auswählen
..
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
..
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
Ups entschuldigung, hab vergessen die config zu posten.
@eagle:
Ja, war natürlich auch mein erster Gedanke, hab schon etwas in der config rumgespielt - hat aber nix gebracht
Code: Alles auswählen
# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords yes
# Uncomment to disable s/key passwords
ChallengeResponseAuthentication no
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
Ja, war natürlich auch mein erster Gedanke, hab schon etwas in der config rumgespielt - hat aber nix gebracht
Bist du dir sicher, das du etwas derartiges Aktivieren willst?
Beschäftige dich lieber mit dem hinterlegen von Schlüsseln, wodurch du dich automatisch einloggen kannst, ohne den Passwortschutz zu untergraben.
http://server.cybernd.at/
=> Howto => ziemlich weit unten: SSH
Solltest du allerdings eine Linuxmaschine als Client benutzen so ergibt sich eine kleine Abweichung vom Howto: Einfach die Schlüssel aus dem .ssh Verzeichnis auf den Client kopieren (Das Aufbereiten entfällt und ist nur für Putty notwendig). Solltest du Probleme haben liegt es zumeist an fehlerhaften Permissions der Schlüssel bzw. des Verzeichnisses ~/.ssh
hth
cybi
Beschäftige dich lieber mit dem hinterlegen von Schlüsseln, wodurch du dich automatisch einloggen kannst, ohne den Passwortschutz zu untergraben.
http://server.cybernd.at/
=> Howto => ziemlich weit unten: SSH
Solltest du allerdings eine Linuxmaschine als Client benutzen so ergibt sich eine kleine Abweichung vom Howto: Einfach die Schlüssel aus dem .ssh Verzeichnis auf den Client kopieren (Das Aufbereiten entfällt und ist nur für Putty notwendig). Solltest du Probleme haben liegt es zumeist an fehlerhaften Permissions der Schlüssel bzw. des Verzeichnisses ~/.ssh
hth
cybi
Projekte: Server Howto, Game
Du hast aber schon daran gedacht, den sshd zu SIGHUPen oder neuzustarten, nachdem Du die config bearbeitet hast, oder?
Amsonsten kann ich mich nur den Worten meines Vorredners anschließen. Wenn Du Dich unkompliziert einloggen möchtest, verwende public key authentication. User accounts ohne Passwort sind eine ziemlich große Sicherheitslücke.
Amsonsten kann ich mich nur den Worten meines Vorredners anschließen. Wenn Du Dich unkompliziert einloggen möchtest, verwende public key authentication. User accounts ohne Passwort sind eine ziemlich große Sicherheitslücke.
> Aber danke dass ihr euch solche Sorgen macht
Es ist einfach wichtig leute auf Sicherheitsbedenken hinzuweisen. Sehr viele sind sich einfach nicht der eventuell entstehenden Probleme bewußt. Gerade wenn es sich um einen durchs internet erreichbaren Server handelt denken nur die wenigsten daran das wir uns in der Realität leider in einem Kriegsartigen zustand befinden.
Ein OpenRelay bleibt z.b. max. ein paar Wochen unerkannt bis der erste Angreifer dieses Auszunutzen versucht ;o) Bei meinem ersten Server dauerte es Beispielsweise lediglcih 2 Tage bis der erste Spamversender den Server gefunden hat.
Mag übertrieben klingen wenn ich von "Krieg" rede, aber wenn man mal betrachtet wieviele Attacken ein normaler Server täglich abkriegt, dann könnte man wirklich mit dieser Theorie übereinstimmen.
Okay zugegebenermaßen prallt vieles ab, da z.b. die üblichen IIS Security Probleme bei einem Debian / Apache Server nicht gegeben sind, aber dennoch findet man mehrmals monatlich eine derartige Attacke im Log. Mein alter Mitadmin hat z.b. erst seit einem Monat einen sftp im Betrieb, aber dennoch finden sich bereits 5 Root Login versuche täglich im Log.
Somit ist es wohl nur verständlich das man darauf hinzuweisen versucht, das ein ungeschützter Server zur Sorge werden kann, vor allem wo es doch den Schlüsselaustausch gibt um derartige Dinge komfortabel zu gestalten. Ja selbst die Eintragung in der IP Liste würde bereits genügend Sicherheit bieten. (Man kann SSH anweisen das es nur für definierte Addressräume ein passwortloses Login erlaubt, was aber bei jedem howto als Sekurityproblem angeprangert wird - berechtigterweise.)
hth
cybi
Es ist einfach wichtig leute auf Sicherheitsbedenken hinzuweisen. Sehr viele sind sich einfach nicht der eventuell entstehenden Probleme bewußt. Gerade wenn es sich um einen durchs internet erreichbaren Server handelt denken nur die wenigsten daran das wir uns in der Realität leider in einem Kriegsartigen zustand befinden.
Ein OpenRelay bleibt z.b. max. ein paar Wochen unerkannt bis der erste Angreifer dieses Auszunutzen versucht ;o) Bei meinem ersten Server dauerte es Beispielsweise lediglcih 2 Tage bis der erste Spamversender den Server gefunden hat.
Mag übertrieben klingen wenn ich von "Krieg" rede, aber wenn man mal betrachtet wieviele Attacken ein normaler Server täglich abkriegt, dann könnte man wirklich mit dieser Theorie übereinstimmen.
Okay zugegebenermaßen prallt vieles ab, da z.b. die üblichen IIS Security Probleme bei einem Debian / Apache Server nicht gegeben sind, aber dennoch findet man mehrmals monatlich eine derartige Attacke im Log. Mein alter Mitadmin hat z.b. erst seit einem Monat einen sftp im Betrieb, aber dennoch finden sich bereits 5 Root Login versuche täglich im Log.
Somit ist es wohl nur verständlich das man darauf hinzuweisen versucht, das ein ungeschützter Server zur Sorge werden kann, vor allem wo es doch den Schlüsselaustausch gibt um derartige Dinge komfortabel zu gestalten. Ja selbst die Eintragung in der IP Liste würde bereits genügend Sicherheit bieten. (Man kann SSH anweisen das es nur für definierte Addressräume ein passwortloses Login erlaubt, was aber bei jedem howto als Sekurityproblem angeprangert wird - berechtigterweise.)
hth
cybi
Projekte: Server Howto, Game
Klar ist es wichtig, jedoch leider nicht selbstverständlich!Cybernd hat geschrieben: Es ist einfach wichtig leute auf Sicherheitsbedenken hinzuweisen.
Und zum Sicherheitsproblem der heutigen Zeit:
Gebe dir da voll Recht.
Mittlerweile kann sich ja auch jeder newbie die entsprechenden Werkzeuge besorgen um in unzureichend geschützte Systeme einzudringen, da sind die vielen Scans/Attacken etc. kein Wunder!
Wobei unter Linux bzw. Debian der Standard ja schon recht hoch ist, ich denke mal wenn man sich als Anfänger schön an die Tipps & Sicherheitswarnungen hält und nicht ahnungslos irgendwelche conf Dateien bearbeitet ist man schon einigermaßen "sicher".
Btw. kennt jemand ne gescheite Seite wo es ein paar Tipps&Tricks zum Thema Sicherheit unter Linux gibt?
Bin da immer recht interessiert.
Greetz,
Vinc